Kaedah pendaftaran dipacu akaun dengan peranti Apple
Pendaftaran Pengguna dipacu akaun dan Pendaftaran Peranti dipacu akaun memberikan cara yang lancar dan selamat untuk pengguna dan organisasi menyediakan peranti Apple untuk kerja dengan mendaftar masuk dengan Akaun Apple Terurus.
Pendekatan ini membenarkan Akaun Apple Terurus dan Akaun Apple peribadi didaftar masuk pada peranti yang sama, dengan pemisahan data kerja dan peribadi sepenuhnya. Pengguna mengekalkan privasi untuk maklumat peribadi mereka dan IT menyokong app, seting serta akaun berkaitan kerja.
Untuk menyokong pengasingan ini, perubahan berikut telah dilakukan kepada cara app dan sandaran dikendalikan:
Semua konfigurasi dan seting dikeluarkan apabila profil pendaftaran dikeluarkan.
App Terurus sentiasa dikeluarkan semasa penyahdaftaran.
App yang dipasang sebelum mendaftar dalam penyelesaian pengurusan peranti mudah alih (MDM) tidak boleh ditukar untuk menjadi App Terurus.
Memulihkan daripada sandaran tidak memulihkan pendaftaran MDM.
Pengguna yang mendaftar masuk dengan Akaun Apple peribadi mereka tidak boleh menerima jemputan untuk pengedaran App Terurus.
Walaupun Akaun Apple Terurus boleh dicipta secara manual, organisasi boleh memanfaatkan penyepaduan dengan IdP, Google Workspace, atau Microsoft Entra ID.
Untuk mendapatkan maklumat tentang pengesahan bersekutu, lihat Pengenalan kepada pengesahan bersekutu dengan Apple School Manager atau Pengenalan kepada pengesahan bersekutu dengan Apple Business Manager.
Proses pendaftaran dipacu akaun
Untuk mendaftarkan peranti menggunakan Pendaftaran Pengguna dipacu akaun atau Pendaftaran Peranti dipacu akaun, pengguna menavigasi ke Seting > Umum > Pengurusan VPN & Peranti atau ke Seting Sistem > Umum > Pengurusan Peranti dan memilih butang Daftar masuk ke Akaun Kerja atau Sekolah.
Ini memulakan proses empat peringkat untuk mendaftar dalam MDM:
Penemuan perkhidmatan: Peranti menentukan URL pendaftaran untuk penyelesaian MDM.
Pengesahan dan token akses: Pengguna memberikan kelayakan untuk membenarkan pendaftaran dan mengeluarkan token akses untuk pengesahan berterusan.
Pendaftaran MDM: Profil pendaftaran dihantar kepada peranti dan pengguna diperlukan untuk mendaftar masuk dengan Akaun Apple Terurus mereka untuk melengkapkan pendaftaran.
Pengesahan berterusan: Penyelesaian MDM mengesahkan pengguna didaftar masuk secara berterusan menggunakan token akses.
Peringkat 1: Penemuan perkhidmatan
Dalam langkah pertama, penemuan perkhidmatan cuba mengenal pasti URL pendaftaran penyelesaian MDM. Untuk berbuat demikian, ia menggunakan pengecam yang dimasukkan oleh pengguna, contohnya eliza@betterbag.com. Domain mesti nama domain penuh yang layak (FQDN) yang mengiklankan perkhidmatan MDM untuk organisasi pengguna.
Diikuti langkah berikut:
Langkah 1
Peranti mengenal pasti domain dalam pengecam yang dibekalkan (dalam contoh di atas, betterbag.com).
Langkah 2
Peranti meminta sumber well-known daripada domain organisasi—contohnya, https://<domain>/.well-known/com.apple.remotemanagement.
Klien menyertakan dua parameter pertanyaan dalam laluan URL permintaan GET HTTP:
user-identifier: Nilai pengecam akaun yang dimasukkan (dalam contoh di atas, eliza@betterbag.com).
model-family: Keluarga model peranti (contohnya, iPhone, iPad, Mac).
Nota: Peranti mengikuti permintaan ubah hala 3xx HTTP, yang membenarkan fail com.apple.remotemanagement sebenar dihoskan pada pelayan lain yang boleh dicapai oleh peranti.
Untuk peranti dengan iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2, atau lebih baharu, proses penemuan perkhidmatan membolehkan peranti mengambil sumber well-known daripada lokasi alternatif yang ditentukan oleh penyelesaian MDM yang dipautkan ke Apple School Manager atau Apple Business Manager. Keutamaan pertama untuk penemuan perkhidmatan ialah sumber well-known di domain organisasi. Sekiranya permintaan gagal, peranti terus menyemak dengan Apple School Manager atau Apple Business Manager untuk lokasi alternatif bagi sumber well-known. Proses ini memerlukan domain digunakan dalam pengecam untuk disahkan dalam Apple School Manager atau Apple Business Manager. Untuk mendapatkan maklumat lanjut, lihat Tambah dan sahkan domain dalam Apple School Manager atau Tambah dan sahkan domain dalam Apple Business Manager.
Untuk menggunakan keupayaan ini, URL penemuan perkhidmatan alternatif mesti dikonfigurasi oleh penyelesaian MDM yang dipautkan ke Apple Business Manager dan Apple School Manager. Apabila peranti mencapai Apple School Manager atau Apple Business Manager, jenis peranti digunakan untuk menentukan penyelesaian MDM yang ditetapkan bagi jenis tersebut—proses yang sama untuk menentukan penyelesaian MDM lalai bagi Pendaftaran Peranti Diautomasikan. Jika penyelesaian MDM yang ditetapkan telah mengkonfigurasi URL penemuan perkhidmatan, peranti meneruskan untuk meminta sumber well-known daripada lokasi tersebut. Untuk mengesetkan penetapan peranti lalai, lihat Setkan penetapan peranti lalai dalam Apple School Manager atau Setkan penetapan peranti lalai dalam Apple Business Manager.
Penyelesaian MDM juga boleh mengehoskan sumber well-known.
Langkah 3
Pelayan yang mengehoskan sumber well-known, membalas dengan dokumen JSON penemuan perkhidmatan yang mengikuti skema berikut:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Kunci pendaftaran, jenis dan perihalan MDM terdapat dalam jadual berikut. Semua kunci diperlukan.
Kunci | Jenis | Perihalan |
|---|---|---|
Pelayan | Tatasusunan | Senarai dengan entri tunggal. |
Versi | Rentetan | Kekunci ini menentukan kaedah pendaftaran untuk digunakan dan mestilah sama anda |
BaseURL | Rentetan | URL pendaftaran untuk penyelesaian MDM. |
Penting: Pelayan mesti memastikan yang medan pengepala Content-Type dalam respons HTTP disetkan kepada application/json.
Langkah 4
Peranti menghantar permintaan POST HTTP kepada URL pendaftaran yang ditentukan oleh BaseURL.
Peringkat 2: Pengesahan dan token akses
Untuk membenarkan pendaftaran, pengguna perlu membenarkan dengan penyelesaian MDM. Selepas pengesahan berjaya, penyelesaian MDM mengeluarkan token akses kepada peranti. Peranti menyimpan token dengan selamat untuk digunakan semasa mengesahkan permintaan berikutnya.
Token akses:
Penting untuk proses pengesahan awal dan akses berterusan kepada sumber MDM
Berfungsi sebagai titian selamat antara Akaun Apple Terurus pengguna dan penyelesaian MDM
Digunakan untuk membenarkan akses berterusan kepada sumber kerja untuk semua pendaftaran dipacu akaun
Pada iPhone, iPad dan Apple Vision Pro, proses pengesahan awal dan berterusan boleh diperkemas dengan menggunakan SSO Pendaftaran (Daftar Diri Tunggal Pendaftaran) untuk mengurangkan gesaan pengesahan berulang. Untuk mendapatkan maklumat lanjut, lihat Daftar Diri Tunggal Pendaftaran untuk iPhone, iPad dan Apple Vision Pro.
Peringkat 3: Pendaftaran MDM
Menggunakan token akses, peranti boleh mengesahkan dengan penyelesaian MDM dan mengakses profil pendaftaran MDM. Profil ini mengandungi semua maklumat yang diperlukan oleh peranti untuk melaksanakan pendaftaran. Untuk melengkapkan pendaftaran, pengguna mesti berjaya mendaftar masuk dengan Akaun Apple Terurus mereka. Selepas pendaftaran selesai, Akaun Apple Terurus dipaparkan secara menonjol dalam Seting dan Seting Sistem.
Untuk mendapatkan maklumat lanjut tentang perkhidmatan iCloud yang tersedia kepada pengguna, lihat Akses perkhidmatan iCloud.
Peringkat 4: Pengesahan berterusan
Selepas pendaftaran, token akses kekal aktif dan disertakan dalam semua permintaan kepada penyelesaian MDM menggunakan pengepala HTTP Pengesahan. Ini membolehkan penyelesaian MDM mengesahkan pengguna secara berterusan dan membantu memastikan yang hanya pengguna dibenarkan mengekalkan akses ke sumber organisasi.
Token akses biasanya tamat tempoh selepas tempoh yang ditetapkan. Apabila ini berlaku, peranti mungkin menggesa pengguna untuk mengesahkan semula bagi memperbaharui token akses. Pengesahan semula berkala membantu memuat naik keselamatan, yang penting untuk peranti peribadi dan yang dimiliki oleh organisasi. Dengan SSO Pendaftaran, pembaharuan token berlaku secara automatik menerusi penyedia identiti organisasi, yang memastikan akses tanpa gangguan tanpa mengesahkan semula.
Cara data pengguna diasingkan daripada data organisasi dengan kaedah pendaftaran dipacu akaun
Apabila Pendaftaran Pengguna dipacu akaun atau Pendaftaran Peranti dipacu akaun selesai, kunci penyulitan berasingan dicipta secara automatik pada peranti. Jika peranti dinyahdaftarkan oleh pengguna atau secara jauh menggunakan MDM, kunci penyulitan tersebut dimusnahkan secara selamat. Kunci sedang digunakan untuk memisahkan data diuruskan yang disenaraikan dalam jadual ini.
Kandungan | Versi sistem pengendalian disokong minimum | Perihalan | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Bekas data app terurus | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | App Terurus yang menggunakan CloudKit menggunakan Akaun Apple Terurus yang dikaitkan dengan pendaftaran MDM untuk penyelarasan data iCloud. Ini termasuk App Terurus (dipasang dengan kunci | |||||||||
App Kalendar | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Peristiwa adalah berasingan. | |||||||||
Item Rantai Kunci | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | App Mac pihak ketiga mesti menggunakan API Rantai Kunci Perlindungan Data. Untuk mendapatkan maklumat lanjut, lihat Global Variable kSecUseDataProtectionKeychain di tapak web Pembangun Apple. | |||||||||
App Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Lampiran mel dan isi mesej mel adalah berasingan. | |||||||||
App Nota | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Nota adalah berasingan. | |||||||||
App Peringatan | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Peringatan adalah berasingan. | |||||||||
Pada iPhone, iPad dan Apple Vision Pro, App Terurus dan dokumen berasaskan web terurus, semuanya mempunyai akses ke iCloud Drive organisasi (yang kelihatan secara berasingan dalam app Fail selepas pengguna mendaftar masuk dengan Akaun Apple Terurus mereka). Pentadbir MDM boleh membantu menyimpan dokumen peribadi dan organisasi khusus secara berasingan dengan menggunakan pengehadan khusus. Untuk mendapatkan maklumat lanjut, lihat Pengehadan dan keupayaan App Terurus.
Jika pengguna mendaftar masuk dengan Akaun Apple peribadi dan Akaun Apple Terurus, Daftar masuk dengan Apple menggunakan Akaun Apple Terurus secara automatik untuk App Terurus dan Akaun Apple peribadi untuk app tidak terurus. Apabila menggunakan aliran daftar masuk dalam Safari atau SafariWebView dalam App Terurus, pengguna boleh memilih dan memasukkan Akaun Apple Terurus mereka untuk mengaitkan daftar masuk dengan akaun kerja atau sekolah mereka.
